ハッカーたちは、AIを活用した新しい攻撃用セキュリティフレームワーク「HexStrike-AI」を、公開されたばかりのnデイ脆弱性を悪用する実際の攻撃でますます利用しています。
この活動はCheckPoint Researchによって報告されており、HexStrike-AIに関するダークウェブ上での活発なやり取りが観測されています。これは、CVE-2025-7775、CVE-2025-7776、CVE-2025-8424を含む、公開されたばかりのCitrixの脆弱性の迅速な武器化と関連しています。
ShadowServer Foundationのデータによると、約8,000のエンドポイントが2025年9月2日時点でCVE-2025-7775に対して依然として脆弱なままであり、前週の28,000から減少しています。
間違った手に渡る力
HexStrike-AIは、サイバーセキュリティ研究者のMuhammad Osamaによって作られた正規のレッドチーミングツールであり、AIエージェントを統合して150以上のサイバーセキュリティツールを自律的に実行し、自動化されたペネトレーションテストや脆弱性発見を可能にします。
「HexStrike AIは、MCP経由で外部LLMを用いた人間参加型のインタラクションで動作し、プロンプト、分析、実行、フィードバックの連続サイクルを生み出します」と開発者の説明に記載されています。
HexStrike-AIのクライアントは、複雑な操作における各ステップの失敗の影響を軽減するため、リトライロジックとリカバリ処理を備えています。失敗した場合は自動的に再試行したり、設定を調整したりして、操作が成功するまで続けます。
このツールは過去1か月間オープンソースとしてGitHubで公開されており、すでに1,800スターと400以上のフォークを獲得しています。
残念ながら、ハッカーたちの注目も集めてしまい、攻撃に利用され始めています。
CheckPointによると、ハッカーたちはハッキングフォーラムでこのツールについて議論し、公開から数時間以内にHexStrike-AIを使って前述のCitrix NetScaler ADCおよびGatewayのゼロデイ脆弱性を悪用する方法について話し合っていました。
出典:CheckPoint
脅威アクターは、CVE-2025-7775を利用して認証不要のリモートコード実行を達成し、侵害された機器にウェブシェルを設置したと報告されています。一部は侵害されたNetScalerインスタンスを販売しています。
CheckPointは、攻撃者が新しいペンテストフレームワークを使って、脆弱なインスタンスのスキャン、エクスプロイト作成、ペイロード配信、永続化の維持など、悪用の一連の流れを自動化した可能性が高いと考えています。
出典:CheckPoint
これらの攻撃にHexStrike-AIが実際に関与しているかは確認されていませんが、このレベルの自動化により、nデイ脆弱性の悪用までの時間が数日から数分に短縮される可能性があります。
このような進展により、システム管理者がパッチを適用できる時間枠はさらに短くなり、攻撃が始まるまでの猶予がほとんどなくなります。
「公開から大規模な悪用までの時間が劇的に短縮されています」とCheck Pointは最近公開されたCitrixの脆弱性についてコメントしています。
「CVE-2025-7775はすでに実際の攻撃で悪用されており、Hexstrike-AIの登場で今後数日間で攻撃の数はさらに増加するでしょう。」
迅速なパッチ適用が依然として重要であるものの、AI駆動の攻撃フレームワークによるこのパラダイムシフトにより、より強固で包括的なセキュリティ体制を維持することがさらに重要になっています。
Check Pointは、防御側は脅威インテリジェンスによる早期警戒、AI駆動の防御、適応型検知に注力することを推奨しています。
